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(57) Abstract 

The invention relates to a process which is divided into individual 
modular phases. During authentication of the first computer unit (CI) 
and the second computer unit (C2), authentication references (AR A , ARb) 
are exchanged and are used in further cryptographic phases (SP, SA) 
thereby eliminating, also as a result of the modular structure, the need for 
new authentication which is actually required in each case in the other 
cryptographic phases (SP, SA). said authentication being also no longer 
performed . 

(57) Zusammenfassung 

Das Verfahren ist in einzelne modulate Phasen aufgeteilt. Wilhrend 
einer Authentifikation der ersten Computereinheit (Cl) und der zweiten 
Computereinheit (C2) werden Authentifikationsreferenzen (ARa, ARb) 
ausgetauscht, die in weiteren kryptographischen Phasen (SP. SA) verwendet 
werden. Dadurch und durch den modularen Aufbau ist eine in den 
weiteren kryptographischen Phasen (SP, SA) eigentlich benotigte jeweils 
neue Authentifikation nicht mehr erforderlich und wird auch nicht mehr 
durchgefuhrt. 
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Beschreibung 

Verfahren zum kryptographischen Schlusselmanagement zwischen 
einer ersten Computereinheit und einer zweiten Computerein- 
5 heit 

Bei einer Kommunikation zwischen Kommunikationsteilnehmern 
ist es in vieien technischen Bereichen notwendig, die Kommu- 
nikation der Teilnehmer mitteis kryptographischer Verfahren 

10 gegen jeglichen Miftbrauch abzusichern. Dabei ist der Aufwand, 
der fur eine kryptographische Absicherung der gesamten Kommu- 
nikation erforderlich ist, abhangig von der jeweiligen Anwen- 
dung. So ist es beispielsweise in Privatgesprachen unter Um- 
standen nicht von sehr grofier Bedeutung, daft alle kryptogra- 

15 phisch moglichen Sicherheitsmaftnahmen zur Absicherung der 
Kommunikation getroffen werden. Bei Kommunikation mit sehr 
vertraulichem Inhalt ist jedoch beispielsweise eine sehr 
strikte Absicherung der Kommunikation von erheblicher Bedeu- 
tung . 

20 

Die Auswahl von fur die Absicherung der Kommunikation verwen- 
deten S icherheitsdiensten, Sicherheitsmechanismen, Sicher- 
heitsalgorithmen und Sicherheitsparametern wird als Sicher- 
heitspolitik, die wahrend der Kommunikation zwischen Kommuni- 
25 kationspartnern eingehalten wird, bezeichnet. 

Da jedoch das Sicherheitsbedur fnis und damit verbunden die 
Sicherheitspolitik von Kommunikationssit zung zu Kommunikati- 
onssitzung und von Anwendung zu Anwendung unterschiediich ist 

30 und da die Kommunikat ions teilnehmer tatsachlich nicht liber 

alle kryptographischen Verfahren verfiigen, kann es bei haufig 
wechselnden Kommuni kationspartnern zu schwerwiegenden Diskre- 
panzen in der erf orderlichen bzw. moglichen Sicherheitspoli- 
tik kommen, die von der jeweiligen Computereinheit des Kommu- 

35 nikationspartners unterstiitzt wird und somit gewahrleistet 
werden kann. 



2 

.Es-ist erf orderlich, dafi in jeder- Kommunikationssitzung in- 
nerhalb einer Gruppe, die an einer Kommunikationssitzung 
teilnirnmt, eine einheitliche .Sicherheitspolitik fur die je- 
weiiige Kommunikation f estgelegt wird . ■ 
5 ' ' ' ; 

Bei einer Vielzahl unterschiedlicher Applikationsprotokolle, 
welche beispielsweise in dem Dokument [1] beschrieben sind , 
z. B. CMAP, CDAP, etc., tritt das Problem auf, daft verschie- 
dene Applikationsprotokolle "gleicher oder verschiedener Com- 

10 putereinheiten eine unterschiedliche- Sicherheitspolitik benb- 
tigen. Es werden eventuell auch eigene, flir das jeweilige Ap- 
plikationsprotokoll spezif ische kryptographische Schlussel 
fur eine iogische Verbindung des jeweiligen Applikationspro- 
tokolls zwischen zwei Computereinheiten bendtigt. Da'ver- 

15 schiedene Applikationsprotokolle auf einer Computereinheit 
implementiert sein kdnnen> miissen unter Umstanden mehrere 
kryptographische Schlussel zwischen zwei Computereinheiten 
ausgetauscht werden. Auch kann es aus diesem Grund notig 
sein, mehrere verschiedene Sicherheirspolitiken zwischen zwei 

20 Computereinheiten auszuhandeln . 

Ein sicherer Schlusselaustausch oder eine vertrauenswilrdige 
Aushandlung einer Sicherheitspolitik basiert auf einer gegen- 
seitigen Authentif ikation der in die Aushandlung bzw. in den 
25 Schlusselaustausch involvierten Computereinheiten vor dem ei- 
gentlichen Schlusselaustausch bzw. der Aushandlung der Si- 
cherheitspolitik. 

Es wird ublicherweise vor jeder^-Aushandlung einer Sicher- - 
30 heitspolitik bzw. vor jedem Schlusselaustausch eine Authenti 
f ikationsphase durchgef uhrt, in der die Computereinheiten 
sich gegenseitig authentif izieren. 

Dies fiihrt bei ■ einer Vielzahl von Aushandlungen einer Sicher 
35 heitspolitik oder Schlusselaustauschvorgangen zu einer Viel- 
zahl von durchgefuhrten Authentif ikationen, die einen erhdh- 
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ten Kommunikationsaufwand und erhohten Bedarf an Rechenkapa- 
"zitat bedeuten. 

Dieses Problem wird noch verscharft, wenn nicht nur zwei Com- 
5 putereinheiten miteinander kommunizieren, sondern wenn mehre- 
re Computereinheiten vorgesehen sind, die verschiedenen Si- 
cherheitsdomanen zugeordnet werden. Unter einer Sicherheits- 
domane ist in diesem Zusammenhang eine Menge von Computerein- 
heiten zu verstehen, die eine gemeinsame Sicherheitspolitik 
10 verf olgen . 



In diesem Fall wird ublicherweise die Authentif ikat ion auf 

Basis der Sicherheitsdomanen durchgefUhrt . . ^ r 

15 Eine Obersicht liber allgemein verwendbare kryptographische ?a 

Verfahren, die in dera Verfahren eingesetzt werden konnen, ist ... 
beispielsweise in dem Dokument [2] zu finden. 

Es ist bekannt, zwischen zwei Kommunikationspartnern eine Si- ^. 
20 cherheitspolitik auszuhandeln, wobei sich jedoch die in die- 
sem Dokument beschriebene Aushandlung nur auf wenige, zuvor 

festgelegte Parameter beschrankt ist [3], , s 

■■V"' 

Der Erfindung lie'gt das Problem zugrunde, ein Verfahren zum 
25 Schliisselmanagement zwischen zwei Computereinheiten anzuge- 
ben, bei dem der benotigte Kommuni kationsauf wand und die zur ' 
Durchfuhrung des Verfahrens benotigte Rechenkapazitat gerin- 
ger ist als bei bekannten Verfahren. 

30 Das Problem wird durch das Verfahren gemail Patentanspruch 1 
gelost. 

Bei dem Verfahren wird eine Authentif ikation zwischen zwei 
Computereinheiten durchgefUhrt, in deren Rahmen Authentif ika- 
35 tionsref erenzen zwischen den Computereinheiten ausgetauscht 

werden. Mit den Authentif ikationsref erenzen wird eine geheime 
Information zwischen den Computereinheiten ausgetauscht, an- 



hand derer eine Authentif ikation* der Computereinheiten mog- 
lich ist. Eine anschlieflende Aushandlung einer -Sicherheitspo- 
iitik und/oder ein anschlieftender Schlusselaus tausch zwischen 
den Computereinheiten erfolgt unter Verwendung der Authenti- 
f ikationsref erenzen . 

Durch dieses Verfahren ist es moglich, explizite Authentifi- 
kationsphasen zwischen; den Computereinheiten fur jeden neuen 
Schliisselaustausch und/oder ftir jede neue Aushandlung einer 
Sicherheitspoiitik zu vermeiden. Dies bedeutet beispielsweise 
bei einer Vielzahl von eingesetzten Applikationsprotok'ollen 
eine erhebliche Reduktion benotigter Authentif ikationsphasen, 
da die Authentif ikation nur einmal zwischen den Computerein- 
heiten durchgefiihrt werden mufi und ftir alle weiteren Schritte 
die Authentif ikation- der Computereinheiten implizit anhand 
der mit iibertragenen Authentif ikationsref erenzen erfolgt . 

Damit wird der ftir ein Schlusselmanagement benotigte Kommuni- 
kationsauf wand zwischen den Computereinheiten sowie der beno- 
tigte Rechenzeitbedarf erheblich reduziert. 

Vorteilhafte Weiterbildungen der Erfindung ergeben sich'.aus 
den abhangigen Anspruchen. 

Bei Gruppierung einer Vielzahl von Computereinheiten in Si- 
cherheitsdomanen und' einer Authentif ikation der Computerein- 
heiten auf Basis der Sicherheitsdomane, der die jeweilige 
Computereinheit zugeordnet ist, wird eine weitere Einsparung 
benotigter Kommuni'kationsaufwands und benotigter Rechenkapa- 
zitat erreicht.. Dies wird durch den modularen Aufbau des Ver- 
fahrens erreicht, da nur fur jeweils eine Computereinheit ei- 
ner Sicherheitsdomane y eine explizite Authentif ikat ionsphase 
durchgefiihrt werden muft. Werden Aushandlungen einer weiteren 
Sicherheitspoiitik und"/ ode r ein weiterer Schliisselaustausch 
zwischen weiteren Computereinheiten der entsprechenden Si- 
cherheitsdomaneri, ftir die schon eine' gegenseitige Authentifi 
kation erfolgte, konnen' die ausgetauschten- Authentif ikations 
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referenzen bei der weiteren Aushandlung und/oder dem weiteren 
Sch-lUsselaustausch implizit zur Authentif ikation der weiteren 
Computereinheiten eingesetzt werden. 

5 Ferner ist es in einer Weiterbildung des Verfahrens vorteil- 
haf t, Hash-Funktionen zu verwenden, die auf symmetrischen 
Kryptoalgorithmen basieren, da eine Bildung von Hash-Werten 
unter Verwendung von solchen Hash-Funktionen' sehr schnell 
durchgefiihrt werden kann . Damit wird die Durchf lihrung des 

0 Verfahrens erheblich beschleunigt . 

Durch Verwendung Digitaler Signaturen in dem Verfahren wird 
eine vertrauenswiirdige , nicht abstreitbare Durchfuhrung des 
Verfahrens moglich. 

5 I. 
Weiterhin ist es vorteilhaft, eine Verbindungsabbauphase 
(Disconnect) durchzuf uhren, in deren Rahmen geteilte Geheim- 
nisse, beispielsweise der ausgetauschte Schlussel oder die 
Authentif ikationref erenzen geloscht werden. Damit wird die 

0 Sicherheit des Verfahrens weiter erhoht/ da keine ausge- 

tauschten geheimen Inf ormationen fur andere Computereinheiten 
zum eventuellen spateren Mifibrauch zur Verfugung stehen-r Die 
Verbindungsabbauphase dient weiterhin zur Synchronisation der 
bei der Kommunikation beteiligten Computereinheiten. 

5 

In einer Weiterbildung des Verfahrens ist es vorteilhaft, die 
geheimen Inf ormationen sukzessive zu loschen, so dafi eine 
. hierarchische Wiederverwendung geheimer, zuvor ausgetauschter 
Information z. B. bei weiterem Austausch von Schliisseln mog- 

0 lich ist. Dies bedeutet beispielsweise, dafl zu Beginn der 
Verbindungsabbauphase der fur die logische Verbindung ausge- 
tauschte Sitzungsschlussel geloscht wird, die zwischen den 
Applikationsprotokollen ausgehandelte Sicherheitspolitik noch 
gespeichert bleibt. Bei einer anschliefienden neuen logischen 

5 Verbindung zwischen den Applikationsprotokollen der Compu- 
tereinheiten ist es dann lediglich erf orderlich, einen neuen 
Schlussel zwischen den Computereinheiten auszutauschen . Die 
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zuvor ausgetauschen geheimen Irvf ormationen, beispielsweise 
die Authentif ikationsref erenzen oder die ausgehandelte Si- 
cherheitspolitik kann weiter auch bei der neuen iogischen 
Verbindung wieder verwendet werden. 

In den Figuren ist ein Ausfiihrungsbeispiel der Erfindung dar- 
gestellt, welches im weiteren naher erlautert wird. 

Es zeigen 



Fig. 1 ein Abiauf diagramin, in dem die einzelnen Ver- 

f ahrenssehritte des Verfahrens dargestellt sind. 

Fig, 2 eine Skizze eines Nachrichtenformats, in dem die 
bei dem Verfahren ausgetauschten Nachrichten 
15 vorteilhaft Ubertragen werden konnen. 

Im Rahmen dieser Erfindung ist der Begriff des kryptographi- 
sche Verfahrens in einer Weise zu verstehen, daft sowohl alle 
kryptographische Verfahren als auch die nichtkryp.tographische 
20 Verfahren zur Integritatspriif ung des Datenpakets DP, bei- 
spielsweise der Cyclic-Redundancy Check (CRC)' mit dem Begriff 
kryptographisches Verfahren bezeichnet werden . 

In Figur 1 ist ein Beispiel des Verfahrens dargestellt, an- 
25 hand dessen die Erfindung dargestellt wird. .Wie im weiteren 

erlautert wird, ist dieses Auf iihrungsbeispiel -'keinesf alls als 
ausschlieftliche Realisierungsmbglichkeit "der Erfindung zu 
verstehen,: Varianten des Ausf uhrungsbeispiels .in ■ den einzel- 
nen Verfah'rensschritten sind" fur den Fachmann ' bekannt und 
30 werden im ' Rahmen der weiteren Beschreibung erlautert. 

Zu Beginn des .Verfahrens wird zwischen* einer ersten. Compu- 
tereinheit CI und einer zweiten' Computereinheit C2 eine Au- 
thentif ikation durchgef uhrt . Die Authentif ikation' erfolgt in 
35 einer Authentif ikationsphase A. 
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Die Authentif ikation kann beispielsweise nach dem in dem 
X . 509-Standard beschriebenen Verfahren zur starken Authenti- 
f ikation erfolgen. Dies Authentif ikation wird dabei bei- 
spielsweise auf folgende Weise durchgef uhrt . 

5 

Von der ersten Computereinheit CI wird ein erstes Zertifikat 
Cert^, welches einen vertrauenswtirdigen, von einer vertrau- 
enswtirdigen dritten Instanz, der Zertif izierungseinheit zer- 
tifizierten, offentlichen Schliissel der ersten Computerein- 
10 heit CI enthalt, zu einer zweiten Copmutereinheit C2 ubertra- 
gen. 

Ferner wird von der ersten Computereinheit CI zusatzlich zu 
dem ersten Zertifikat Cert^ eine erste Signaturnachricht SI 
15 gebildet, die durch eine digitale Unterschrift iiber eine er- 
ste Nachricht Nl mit einem geheimen Schliissel SK_A der ersten 
Computereinheit Cl gebildet wird. 

Die erste Nachricht Nl enthalt beispielsweise einen ersten . 

20 Zeitstempel T A , eine erste Zufallszahl R A , die im Rahmen die-, 
ses Verfahrens eindeutig ist, eine Identitatsangabe Ig der 
zweiten Computereinheit C2, bei Verwendung des X.509- 
Authentif ikationsmechanismus beispielsweise die eindeutige 
Identitatsangabe der zweiten Computereinheit C2, bei einer im 

25 weiteren beschriebenen Aushandlung einer zu verwendenden Si- 
cherheispolitik, die sich iiber eine ganze Sicherheitsdomane 
erstreckt, eine Domanenangabe SDID, der die . zwe it e - Compu- 
tereinheit Cl zugeordnet wird, sowie eine mit einem offentli- 
chen Schliissel PK_B der zweiten Computereinheit C2 verschltis- 

30 selte Authentif ika'tionsreferenz AR A der ersten Computerein- 
heit Cl, die einem Pseudoschlussel der ersten Computereinheit 
Cl entspricht 



35 



Das erste Zertifikat Cert A sowie die erste Signaturnachricht 
SI wird an die zweite Computereinheit C2 ubertragen. 
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"Nach \Auswertung (Verif izierung) der ersten Signaturnach- 
richt 51/ welche zur Abwehr von kryptographischen Angriffen 
un.terschiedlicher Art dient, wird in der zweiten Computerein- 
heit C2 eine zweite Signaturnachricht S2 gebildet und an die 
erste Computereinheit CI ubertragen. 

Die zweite Signaturnachricht S2 enthalt beispielsweise fol- 
gende Komponenten: 

' einen zweiten Zeitstempel Tg, 

eine zweite-, eindeutige Zufailszahl Rg, 

eine Identitat sangabe I A der ersten Computereinheit CI, 
- - ". die erste Zufailszahl R A , 

eine mit einem offentlichen Schlussel PK_A der ersten 
- : - .. Computereinheit. CI verschlusselte Authentif ika- 
tionsref erenz ARg der zweiten Computereinheit C2 . 

Die oben beschr iebenen Komponenten bilden eine zweite Nach- 
richt N2, die durch Bildung einer digitalen Unterschrift un- 
ter Verwendung eiries geheimen Schlussels : SK_B der zweiten 
Computereinheit C2 bestimmt wird. 

Die geheimen Pseudoschlussel in Funktion der Authentif ikati- 
ons'ref erenz ARa der ersten Computereinheit CI und der Authen- 
tif ikationsref erenz ARb der zweiten Computereinheit. C2 dienen 
im weitereh Protokbllablauf dazu, nachfolgende Protokol lpha- 
sen und Protokollnachrichten kryptographisch an die Authenti- 
f ikationsphase zu koppeln. Bei Verwendung des X . 509-Standards 
kann die Authentif ikationsref erenz ARj\ der ersten Compu- 
tereinheit CI i-n"einem Feld ubertragen werden, das fur. einen 
„geheimen Bit-String" vorgesehen ist: 

Nach Empfang und Auswertung, "d. h. Verif izierung der zweiten 
Signaturnachricht S2 in der ersten Computereinheit CI wird 
von der ersten Computereinheit CI eine dritte ' Signaturnach- 
richt S3 gebildet und an die zweite Computereinheit C2 uber- 
tragen. 
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Die dritte Signaturnachricht S3 wird gebildet unter Verwen- 
dung des geheimen Schliissels SK_A der ersten Computerein- 
heit CI, mat dem eine dritte Nachricht N3 verschlusselt wird. 
Die dritte Nachricht N3 enthalt mindestens die Identi tatsan- 
S gabe Ig der zweiten Computereinheit C2 sowie die zweite Zu- 
faliszahl Rg - 

Die Authentif ikation kann jedoch durch jede andere Authenti- 
fikation zwischen der ersten Computereinheit CI und der zwei- 

0 ten Computereinheit C2 erfolgen, beispielsweise unter Verwen- 
dung des Prinzips des exponentiellen Schlusselaustauschs , z. 
B. unter Verwendung des sog. Dif f ie-Hellmann-Verf ahrens . Bei 
Verwendung des Di f f ie-Hellmann-Schliisselaustauschs wird der 
ausgetauschte Schlussel direkt als die im weiteren Verfahren.. 

5 verwendete Authentif ikationsref erenzen ARa, ARg verwendet . 

In der Authentif ikationsphase A ist es lediglich erforder- k 
•lich, daft zwischen der ersten Computereinheit CI und der . . 
zweiten Computereinheit C2 die Authentif ikationsref erenzen 

0 ARa, ARb in vertrauenswiirdiger Weise ausgetauscht werden. 

Dies bedeutet, daft es nur erforderlich ist, dali in den beiden 
Computereinheiten CI, C2 eine fur die jeweilige Computerein-. 
heit CI, C2 charakteristische geheime Information in der je- 
weiligen anderen Computereinheit CI, C2 nach der Authentifi- 

5 kationsphase A vorliegt. 

Nach erfolgter Authentif ikation wird zwischen der ersten Com- 
putereinheit CI und der zweiten Computereinheit C2 eine in 
der weiteren Kommuni kationsphase eingesetzte Sicherheitspoli- 
10 tik ausgehandelt und/oder es wird ein kryptographische 
Schlussel ausgetauscht. 

Im weiteren werden sowohl eine Aushandlungsphase SP der Si- 
cherheitspolitik als auch eine Schluselaustauschphase SA de- 
15 tatilliert erlautert. Es ist jedoch in Varianten des Verfah- 
ren vorgesehen, nur die Aushandlungsphase SP der Sicherheits- 
politik oder die Schluselaustauschphase SA durchzuf uhren . Die 
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gemeinsame Darstellung beider -Phasen SP,* SA' in dem -Ausfiih- 
rungsbeispiel dient lediglich der deutlicheren Darstellung 
der Erf indung . - 

5 Die Aushandlungsphase SP der Sicherheitspolitik kann bei- 

spielsweise durch folgende Ver f ahrensschritte charakterisiert 
sein. 

Mit diesem modular aufgebauten Protokoll wird eine gegensei- 
10 tige Authentif ikation der ersten - Computereinheit CI und der 
zweiten Computereinheit C2 fur weitere' Aushandlungen der Si- 
cherheitspolitik zwischen der- ersten Computereinheit CI und 
der zweiten Computereinheit C2 ' moglich, ■ ohne daft die Authen- 
tif ikationsphase A erneut durchfuhfen- zu miissen. Dies wird 
15 durch Verwendung der Authentif ikatiohsref erenzen AR^, ARb in 
der Aushandlungsphase SP der Sicherheitspolitik zur implizi- 
ten Authenti f ikation ■ der Computereinheiten CI, C2 moglich. 

Die Sicherheitspolitik kann sich in einer Weiterbildung bei- 
20 spielsweise Uber ganze Sicherheitsdomanen SI, S2 erstrecken, 
womit eine Gruppe von Rechnern bezeichnet wird, die sich ei- 
ner gemeinsamen Sicherheitspolitik unterordnen. 

Die Sicherheitspolitik kann sich jedoch auch nur auf die ak- 
2 5 tuell aufzubauende Verbindung zwischen der ersten Compu- 
tereinheit CI und der zweiten. Computereinheit C2 erstrecken. 

Es wird ein Sicherheitspolitikvorschlag SP A , der die zu. ver- 
wendende Sicherheitspolitik,- die von der ersten 'Computerein- 
30 heit CI vorgeschlagen wird, enthalt, in der ersten Compu- 
tereinheit CI gebildet.. - v - 

Der Sicherheitspolitikvdrschlag SP A wird mit dem of fentlichen 
Schlussel PK_B der zweiten Computereinheit C2 verschlusselt, 
35 wodurch der sensitive Sicherheitspolitikvprschlag SP A vor e'i- 
nem unbefugten Abhoren geschutzt wird. 
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Ferner wird mindestens auf den Sicherheitspolitikvorschlag 
SP A , die Identitatsangabe I B der zweiten Computereinheit C2 
sowie die Authentif ikationsref erenz ARg der zweiten Compu- 
tereinheit C2 eine Hash- Funkt ion -h (. ) angewendet wird, mit 
der ein erster Hash-Wert h(SP A , I B , AR B ) gebildet wird. 

Mit dem ersten Hash-Wert h(SP A , Ig/ ARg) wird die Authentizi- 
tat der ersten Computereinheit CI sowie des Sicherheitspoli- 
tikvorschlags SP A gewahrleistet fllr die zweite Compute rein- 
0 heit C2. , 

Es ist an dieser Stelle moglich ist, eine asymmetrische digi- 
tale Unterschrift zu verwenden, wodurch eine Nichtabstreit- 
barkeit der jeweils digital signierten Nachricht erreicht 



.Die Bildung eines Hash-Wertes auf Basis symmetrischer Krypto-^ 
verfahren weist den Vorteil auf, dafi die Ermittlung des Hash- 
Wertes mittels symmetrischer Kryptoverf ahren erheblich 
0 schneller durchgefiihrt werden kann als die Bildung einer di- 
gitalen Unterschrift. 

Es kbnnen beliebige Hash-Funktionen im Rahmen dieses Verfah- 
rens eingesetzc werden, beispielsweise , das MD4-Verf ahren, das 
5 MD5-Verf ahren, oder der Hash-Algorithmus ISO10118. Das Hash- 
Verfahren ISO10118 ist bespnders vorteilhaft einsetzbar fur 
den Fall, wenn eine Hardwareimplimentierung des symmetrischen 
sog. DES-VerschlUsselungsverf ahrens (Data Encryption Stan- 
dard) vorhanden ist. 

0 

Der verschlusselte Sicherheitspolitikvorschlag SP A sowie der 
erste Wert h(SP A , Ig, ARg) werden zu der zweiten Computerein- 
heit C2 ubertragen und dort verifiziert. 

i5 Als Antwort wird eine Sicherheitspoiitikbestatigung SP^b zu 
der ersten Computereinheit CI ubertragen, die mit dem offent- 
lichen Schliissel PK A der ersten Computereinheit CI ver- 



5 



wird . 
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schliisselt"- wird'.' Ferner; wird ein ; zweiter Hash-Wert' h(SPj\3,-- • 
1^, AR^) in der zweiten Computereinheit C2 gebildet und zu 
der ersten Computereinheit' CI ubertragen, wobei der zweite 
Hash-Wert MSP^^, AR^) mindestens uber die Sicherheitspo- 

5 ■ litikbestatigung SPj^g, die Jdentitatsangabe- der ersten 
Computereinheit Cl sowie die Authentif ikationsref erenz AR^ . 
der ersten Computereinheit Cl gebildet wird: 

Die Sicherheitspolitikbestatigung -SPjyb enthalt beispielsweise 
10 entweder eine Bestatigung der Akzeptanz des von der ersten 
Computereinheit Cl gesendeten Sicherheitspolitikvorschlags 
SP^, oder aber einen eigenenV von- der zweiten Computereinheit 
C2 gebildeten .Sicherheitspolitikvorschlag . Weicht der von der 
zweiten Computereinheit- C2 gebildete Sicherheitspolitikvor- 
15' schlag von dem Sicherheitspolitikvorschlag SP^ der ersten 

Computereinheit Cl ab, so muft auf entsprechende Weise die er- 
ste Computereinheit Cl den w'eiteren Sicherheitspolitikvor- 
schlag verarbeiten, verif izieren, uberpriifen und eine weitere 
Sicherheitspolitikbestatigung- zu der zweiten Computereinheit 
20 C2 senden. 

Die Inhalte der Nachrichten sind entsprechend dem oben be- 
schriebe'nen Verfahren. Die Aushandlungsphase SP der Sicher- 
heitspolitik kann iterativ solange weitergef iihrt werden, bis 
25 sich die erste Computereinheit Cl und die zweite Computerein- 
heit C2 auf eine einheitliche, von beiden Computereinheiten 
Cl, C2 unterstutzte Sicherheits'politik „geeinigt" haben . 

■Die S'chluselaustauschphase .SA kann' ^beispielsweise durch fol- • 
30 gende Ver f ahrensschritte realisiert werden. ■ 

Von der ersten Computereinheit Cl wird eine' erste Schliissel-", 
' austauschnachricht SA1 f zu der s zweiten Computereinheit C2 
iibertragen. 
35 ' - : 

Die erste Schlusselaus'tauschnachricht SA1 enthalt beispiels- 
weise folgende Komponenten : 
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- eine Angabe P einer zu verwendenden Verbindung, mit der 
eine von mehreren verschiedenen gleichzeitig aktiven 
Verbindungen reprasentiert wird, 

- einen Zahlwert C^g der ersten Computereinheit CI 

5 fur die SchlUsselverteilung und/oder eine Verbindungs- 
abbruchsnachricht, 

- einen mit dem offentlichen Schliissel PK_B der zweiten 
Computereinheit C2 verschliisselten, im weiteren Verfahren 
zu verwendenden Sitzungsschlussel k, wobei der Sitzungs- 

10 schliissel k vorteilhaf terweise ein symmetrischer Sitzungs- 
schlussel ist, der im Rahmen der Verbindung P eingesetzt 
wird, 

- ein dritter Hash-Wert h(k, P, Cj^, ■ I B , AR B ) , der gebildet ^. 
wird mindestens Uber den Sitzungsschlussel k, dieJVerbin- v - ^ 

15 dung P, den Zahlwert Cab,. die Identitatsangabe I B xier ■ * 
zweiten Computereinheit C2 sowie die Authentif ikationsre- 
ferenz AR B der zweiten Computereinheit C2 . _ -*;~m 

Es ist in einer Weiterbildung des Verfahrens ebenf alls ■ vorge^-. 
20 sehen, daft der Sitzungsschlussel k ein asymmetrisches Senilis- ... 
selpaar ist . 

■ 

Der Zahlwert -C^b zwischen der ersten Computereinheit CI und 
der zweiten Computereinheit C2 dient dazu, zwischen verschie- 

25 denen Protokolldurchlauf en fiir die gleiche Verbindung P zwi- 
schen der ersten Computereinheit CI und der zweiten Compu- 
tereinheit C2 zu unterscheiden. Indem der jeweils empfangene 
Zahlwert C&B stets grbUer sein mufr als der zuletzt gespei- 
cherte Zahlwert CaB' konnen Replay-Attacken, d. h. Angriffe 

30 durch Wiedereinspielung abgehorter Daten, entdeckt werden. 

Die erste SchlUssselaustauschnachricht SA1 wird von der zwei- 
ten Computereinheit C2 anhand des dritten Hash-Wertes h(k, P, 
C AB' *B' verifiziert, der Sitzungsschlussel k wird unter 

35 Verwendung des geheimen Schlussels SK_B der zweiten Compu- 
tereinheit C2 entschliisselt, und es wird eine zweite Schlus- 
selaustauschnachricht SA2 gebildet, mit der der Empfang und 
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die"' weitere -Verwendung des S iczungs chilis se Is -k; fur .-.die Ver- 
bindung P der ersten Computereinheit CI bestatigt wird. 

Die zweite Schliisselaustauschnachricht SA2- enthalt beispiels- 
weise folgende Komponenten : 

- die Verbindung P, 

- einen vierten Hash-Wert h(P, ' k, Ia> ' der gebildet 
wird mindestens liber die Verbindung P, den Sitzungsschliis- 
sel k, den ersten Zahlwert Ca / sowie die Identitatsangabe 
I A der ersten Computereinheit CI. 

Auf diese Weise ist es moglich, auf einfache Art schnell una 
verlafllich in dem Verfahren zu verwendende Sit zungsschlussel 
zwischen der ers ten - Computereinheit CI . und- . der zwei ten .Compu- 
tereinheit C2 auszutauschen, ■ ohne die gegenseitige Authenti- 
f ikationsphase und die Aushandlung der Sicherheitspolitik SP 
wiederhoien zu mussen. 

Dies ist nur augrund des modularen Aufbaus. des oben beschrie- 
benen Verfahrens moglich, da bei dem modularen Aufbau einzel- 
ne Phasen des Verfahrens weggelassen oder in beliebiger Weise 
miteinander kombiniert werden konnen. 

Ferner ist es in einer Weiterbildung vorgesehen, einen Ver- 
bindungsabbruch auch auf eine kryptographische Weise abzusi- 
chern. Dies kann beispielsweise dadurch erfolgen, daft von der 
ersten Computereinheit CI eine .Verbindungsabbruchsnachricht 
VAN gebildet wird und an die zweite Computereinheit C2 gesen- 
'det -wird . - ' ■ ■' " • ^ ■ --■ . - • . . .,. ' : . . . • 

Die Verbindungsabbruchsnachricht VAN enthalt beispielsweise 
folgende Komponenten: j ". " : " 

- die Verbindung P, 

- eine Angabe zur Identif izierung der Verbindungsabbruchs- 
nachricht VAN, 

-""den Zahlwert. Cab' ' 

- einen funften Hash-Wert h(P, DR, Cab, i B' ' der bei ~ 
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spielsweise uber die Verbindung P, die Angabe DR der 
Verbindungsabbruchsnachricht VAN, den Zahiwert Cpj$, die 
Identitatsangabe Ig der zweiten Computereinheit C2, und die 
Authentif ikationsref erenz ARg der zweiten Computereinheit 
5 C2 gebildet wird. 

Die Verbindungsabbruchsnachricht VAN wird von der zweiten 
Computereinheit C2 verifiziert, die Verbindung wird abgebro- 
chen, und es wird eine beispielsweise Verbindungsabbruchbe- 
10 statigungsnachricht VACKN in der zweiten Computereinheit C2 
gebildet und an die erste Computereinheit CI ubertragen. 

Die Verbindungsabbruchbestatigungsnachricht VACKN enthalt * . 
beispielsweise folgende Komponenten: 
15 - die Verbindung P, v . -S^ 

■ - eine Angabe DA zur Identif izierung der Verbindungsabbruch- , 

bestatigungsnachricht VACKN, „;^/ 
- einen sechsten Hash-Wert h(P, DA, C^b, I a , AR A ) , 

der beispielsweise uber die Verbindung P, die Angabe : ■ 

2 0 DA zur Identif izierung der Verbindungsabbruchbes tatigungs- - g^d-f 
nachricht VACKN, den Zahiwert C^g, die Identitats-j #*?f^ 
angabe I A der ersten Computereinheit CI, sowxe die^Authen- 
tif ikationsref erenz AR A der ersten Computereinheit CI 
gebildet wird. 

25 • 
Mit den Angaben DR, DA zur Identif izierung der Verbindungsab- 
bruchsnachricht VAN bzw. der Verbindungsabbruchbestat igungs- 
nachricht VACKN ist es moglich, MiJibrauch der Hash-Werte bei 
zukiinftigen Erweiterungen dieser oben beschr iebenen Verfahren 

30 fur andere Zwecke zu verhindern. Die Verbindungsabbruchsnach- 
richt VAN und/oder die Verbindungsabbruchbestatigungsnach- 
richt VACKN enthalten zusatzlich die Angabe Uber die verwen- 
dete Verbindung P. 

35 Die oben beschriebenen und in Fig. 1 dargestellten Phasen des 
Verfahrens zur Authentif izierung A, zur Aushandlung SP der 
Sicherheitspolitikvorschlag, zum Schliisselaustausch SA, sowie 
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zum Verbindungsabbruch konnen in beliebiger Kombina'tion iriit- 
einander durchgefilhrt werden. 



Es ist in einer ■ Weiterbildung des Verfahrens vorgesehen, daft 
5 in der Verbindungsabbruchphase nicht alle geheimen ausge- 
tauschten Inf ormationen sofort geloscht werden, sondern daft 
zuerst nur der jeweils ausgetauschte Sitzungsschlussel k ge- 
loscht wird und beispielsweise die ausgehandelte Sicherheits- 
politik und/oder die Authentif ikationsref erenzen ARj^, AKg in 
10 den Computereinheiten CI, C2 gespeichert bleiben. 

Ferner ist'es in einer Weiterbildung vorgesehen, die Loschung 
der geteilten geheimen Inf ormationen sukzessive zu loschen, 
d. h. nach Loschen des Sit zungsschlussels k zuerst die je- 
15 weils ausgehandelte S icherheitspolitik zu 'loschen und erst 
anschlieftend die Authent i f ikationsref erenzen" ARa, ARb . 

Das Verfahren kann wahrend einer Verbindungsauf bauphase bzw. 
wahrend einer Verbindungsaufbauphase ' einer Verbindung zwi- 
20 schen der ersten Computereinheit CI und der zweiten Compu- 
tereinheit C2 ■ durchgefilhrt werden. 

In einer Weiterbildung des Verfahrens ist' es vorgesehen, die 
einzelnen Nachrichten in einem Nachrichtenf ormat zu ubertra- 
25 gen, dessen Aufbau in Figur 2 dargestellt ist. 

Bei diesem Nachrichtenf ormat wird den jeweils zu ubertragen- 
den Nachrichten ein Kopffeld KF vorangestellt . 

30 Das im wei-teren beschriebene Nachrichtenf ormat ist in kein- 
ster Weise auf das im vorigen beschriebene' Verfahren be- 
schrankt, sondern kann in alien kryptographischen Protokollen 
verwendet werden. 

35 Das Kopffeld' KF weist vorzugsweise folgende Elemente auf: 
- ein Sicherheits-Flag SF (Security-Flag) der Lange 
mindestens eines Bits, 
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- die Verbindung P, 

- eine Phasenangabe PT einer Phase A, SP, SA, auf die sich 
die jeweilige Information der Nachricht bezieht, 

- ein Zahierfeld Z, mit dem die Nachricht jeweils innerhalb 
5 der jeweiligen Phase A, SP, SA eindeutig identi f i ziert 

wird, 

- eine Angabe D, beispielsweise eine Adresse, der die 
Nachricht empf angenden Computereinheit CI/ C2 und/oder 
einer Angabe der Sicherheitsdomane SI, S2, der die 

10 jeweilige Computereinheit CI, C2 zugeordnet ist. 

Weiterhin konnen in dem Kopffeld KF in einer Weiterbildung 
auch beispielsweise in dem Feld PT, in dem die jeweilige Pha- 
se A, SP, SA angegeben wird, zusatzlich mindestens jeine Anga-„ , ^ 
15 be uber in der Phase A, SP, SA zu verwendende Algorithmen," . . 
beispielsweise RSA, MD5, MD4, DES, Elliptische Kurve- _ . 

Algorithmen und/oder in den Algorithmen zu verwendende Para- 
meter enthalten sein. _ - ■ 

20 Durch das Sicherheits-Flag SF, welches die Lange mindestens . 
eines Bits aufweist, wird es fur den Empfanger bei der Aus- 
wertung des Kopffeldes KF auf sehr einfache/ schnelle und so- 
mit Rechenkapazitat einsparende Weise moglich,. zu erkennen, 
ob die jeweils empfangene Nachricht in irgendeiner Weise 

25 kryptographisch behandelt ist. 

Hierzu reicht die Angabe in dem Sicherhei ts-Flag SF mit einem 
ersten logischen Wert fUr eine kryptographisch bearbeitete 
Nachricht und einen zweiten logischen Wert fur eine krypto- 
30 graphisch nicht bearbeitete Nachricht aus . 



Aus diesem Grund ist es in einer Weiterbildung vorgesehen, 
daft das Sicherheits-Flag SF nur die Lange genau eines Bits 
aufweist . 

35 

Ein Vorteil des Zahlerfeldes Z ist darin zu sehen, dafi in ei- 
ner Phase A, SP, SA prinzipiell beliebig viele Nachrichten 
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ausgetauscht werden kdnnen und die j eweilige Nachricht .inner- 
halb der Phase A, SP, SA mittels des Zahlerfeldes Z eindeutig 
identif iziert werden kann . 

5 Ein 'Vorteil der Phasenangabe PT der Phase A, SP, SA in dem 

Kopffeld KF ist in der sehr einfachen Erweiterbarkeit des ge- 
samten Verfahrens um neue Phasen zu sehen, wobei lediglich 
eine neue Kennzeichnung in die Phasenangabe PT auf genommen 
werden mufi . Auch ist es mit der Phasenangabe PT ebenso ein- 
10 fach moglich, schon vorgesehene Phasen zu ersetzen und/oder 
zu loschen. 

Die Nachricht selbst ist in einem Feld VL variabler Lange 
enthalten. 
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In diesem Dokument wurden folgende Verof f entlichungen zi- 
tiert: 

[1] MMC-Ubersichtsartikel 

5 

[2] S. MuftiC/ Sicherheitsme.chanismen fur Rechnernetze," Car 
Hanser Verlag, Munchen, ISBN 3-446-16272-0, S. 34 - 10, 
1992 • 

1C [3] E. Kipp et al, The SSL Protocol, Internet Draft, 

Erhaltlich im Juni 1995 im Internet unter folgender 
Adresse : 

gopher : //ds . internic . net.: 70/00/internet-draf ts/ 
draft-hickman-netscape-ssl-01.txt 
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Patentanspriiche 

1. Verfahren zum kryptograph'ischen Schlusselmanagement zwi- 
schen einer ersten Computereinheit (CI) und einer zweiten 

5 Computereinheit (C2), 

- bei dem zwischen der ersten Computereinheit (CI) und der 
zweiten Computereinheit (C2) eine Authentif ikation durchge- 
fUhrt wird, 

- bei dem wahrend der Authentif ikation zwischen der ersten 

10 Computereinheit (CI) und der zweiten Computereinheit (C2) Au- 
thentif ikationsref erenzen (AR&, ARb) ausgetauscht werden, mit 
denen die- Authentizitat der Computereinheiten (CI, C2 ) ge- 
wahrleistet wird, 

- bei dem zwischen der ersten Computereinheit (CI) und. der 
15 zweiten. Computereinheit (C2) eine Sicherheitspolitik (SP) 

ausgehandel.t wird und/oder ein Schlusseiaustausch (SA) durch- 
gefiihrt wird, und 

- bei dem bei der Aushandlung der Sicherheitspolitik (SP) 
und/oder bei dem Schliisselaustausch (SA) mindestens eine der 

20 Authentif ikationsref erenzen (ARa, ARb) verwendet wird. 

2. Verfahren nach Anspruch 1, 

- bei dem die erste Computereinheit (CI) einer ersten Sicher- 
heitsdomane' (Si) zugeordnet ist, 

25 - bei dem die zweite Computereinheit (C2) einer zweiten Si- 
cherheitsdomane (S2) zugeordnet ist, 

- bei dem von weiteren Computereinheiten (Ci) der ersten Si- 
cherheitsdomane (SI) oder der zweiten -i Sicherheitsdomane (S2) 

eine weite're Sicherheitspolitik (SPi)' ausgehandelt wird, und ' * 
30 - bei dem bei -der Aushandlung die Authentif ikationsref erenzen 
(AR;\, ARb) verwendet werden. 

3. Verfahren nach Anspruch 1 oder 2, 

■ -'bei dem die erste Computereinheit (CD einer ersten Sicher- 
35 heitsdomahe (SI) zugeordnet ist, 

* 

- bei dem die zweite Computereinheit (C2) einer zweiten Si- 
cherheitsdomane (S2) zugeordnet /ist ■, 
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- bei dem von weiteren Computereinheiten (Ci) der ersten Si- 
cherheitsdomane (SI) oder der zweiten Sicherheitsdomane (S2) 
ein weiterer Schlusselaustausch (SAi) durchgefuhrt wird, und 

- bei dem bei dem Schlusselaustausch (SAi) die Authentif ika- 
tionsref erenzen (ARa/ ARb) verwendet werden. 

4. Verfahren nach einem der Anspruche 1 bis 3, 

bei dem im Rahmen des Verfahrens Hash-Funktionen (h{) ) ver- 
wendet werden, die auf symmetrischen Kryptoalgorithmen basie- 
ren . 

5. Verfahren nach einem der Anspruche 1 bis 4, 

bei dem im Rahmen des Verfahren Digitale Signaturen (SIG(J) 
verwendet werden. 

6. Verfahren nach einem der Anspruche 1 bis 5, 

bei dem die Authentif ikation nach einem Verfahren gemaft der 
starken Authent i f ikation des X . 509-Verf ahrens durchgefuhrt f 
wird. 

1. Verfahren nach einem der Anspriiche 1 bis 6, 

- bei dem die Authentif ikation nach einem Verfahren gemaft dem 
Dif f ie-Hellman-Verf ahren zum Schlusselaustausch durchgefiihrt, 
und 

- bei dem die nach dem Dif f ie-Hellman-Verf ahren ausgetausch- 
ten Schlussel als Authentif ikationsre f erenzen (ARa, ARb) ver- 
wendet werden. 

8. Verfahren nach einem der Anspruche 1 bis 7, 

bei dem eine Verbindungsabbauphase (Disconnect) durchgefuhrt 
wird, in deren Rahmen geteilte Geheimnisse, beispielsweise 
der ausgetauschte Schlussel oder die Authentif ikationref eren- 
zen (ARa/ ARb) gelbscht werden. 

9. Verfahren nach Anspruch . 8, 

bei dem der ausgetauschte Schlussel gelbscht wird. 
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1 ' 10 . - Verfahren nach Anspruch, 9", **- v ; r < {■■■■■. 

bei dem anschlieliend sukzessive weitere Geheimnisse geloscht 
werden. 

5 
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